Hallo zusammen,

erstmal danke dass es dieses Forum gibt. Hier hab ich schon einiges an Hilfe finden können. Nun aber zu meinem eigentlichen Problem. Nämlich:

Kann ich nicht ganz diese Sachen nachvollziehen:

Zitat:

Logfile of HijackThis v1.99.0
Scan saved at 19:35:29, on 21.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Trend Micro\Internet Security 12\pccguide.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ANTI-L~1\ALIE_1~1.6\alhlp.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Dokumente und Einstellungen\David\Desktop\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Security Agent Manager] mssams.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\RunServices: [Security Agent Manager] mssams.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106137309078
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCCD69C6-9F1A-4924-B1E4-B073F726719B}: NameServer = 81.89.96.11 81.89.96.12
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Real-time Service - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Habe Win XP Prof. seit vorgestern [ 19.01.2005 ] installiert und sofort alle Updates gemacht. Vielleicht hat jmd. ne Idee, wo ich mir diese Sachen alle erklären lassen kann?

Danke schonmal für die Tips.

Hallo,

dein Problem ist der hier http://www.sophos.de/virusinfo/analyses/w32rbotsv.html

Das bedeutet leider für dich Format c: und zwar nach dieser Anleitung

http://www.trojaner-board.de/showthread.php?t=12154

Gruss

wie kommst du denn auf diese Meldung? Ich würd gern wissen, wie bzw. wo du das gesehen hast

Einmischung:
Das:
O4 - HKLM\..\RunServices: [Security Agent Manager] mssams.exe
ist er.

Hab ich mir gedacht. Also muss ich net alles löschen?

Eben gerade deswegen schon!
cacatoa

Reicht es nicht, den Wurm und die dazugehörenden Registry Einträge zu löschen und ein von dir empfohlenes Antivirus Scan Programm laufen zu lassen?

@L. S. G.
nein! du bist dir dann nicht sicher wirklich alles aus der registry zu entfernen.

W32/Rbot-SV ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalitäten und ermöglicht unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen, während er im Hintergrund als Dienstprozess aktiv ist.

W32/Rbot-SV verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern und über Netzwerkschwachstellen, wenn das Backdoor-Element den entsprechenden Befehl von einem remoten Benutzer erhält.

W32/Rbot-SV kopiert sich in den Windows-Systemordner unter mssams.EXE und erzeugt Einträge an folgenden Stellen in der Registrierung, so dass er beim Systemstart aktiviert wird und versucht, diese jede Minute zurückzusetzen:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Security Agent Manager
mssams.EXE

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Security Agent Manager
mssams.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Security Agent Manager
mssams.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
Security Agent Manager
mssams.EXE

W32/Rbot-SV fügt folgende Registrierungseinträge hinzu und versucht, sie alle 2 Minuten zurückzusetzen.

HKLM\SOFTWARE\Microsoft\Ole\
EnableDCOM
"N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
restrictanonymous
"1"

W32/Rbot-SV versucht, die Netzwerkfreigaben C$, D$, E$, IPC$ und ADMIN$ zu löschen.

W32/Rbot-SV versucht, Prozesse zu beenden, die mit Antiviren- und Sicherheitsprogrammen im Zusammenhang stehen, dazu gehören SWEEP.EXE, REGEDIT.EXE, MSCONFIG.EXE und NETSTAT.EXE.

mache format C

scnr

chaosman

@ L.S.G.
Nein, das reicht leider nicht.
Du weißt nicht, was der Troj schon verändert, neu eingetragen oder sonst schon gemacht hat. Damit ist Dein System nicht mehr vertrauenswürdig. Bei Backdoor-Trojanern gilt: Neu aufsetzen.
Sorry
cacatoa

Hmm...Schade Schade Schade!

Und wieder einen unwissenen gekriegt. Worüber fang ich mir denn sowas ein? Über IE oder irgendwas anderes?

L.S.G

Lies doch bitte einfach mal den Link den ich unten von Cidre gepostet habe,da steht alles drin!


Gruss